Los creadores del malware se han colgado en este caso de la fama de los Cartoon huevo,  los usuarios los pueden descargar en internet para ver esta animación. Como podemos apreciar en la

figura 30

 

 

 

 

 

 

 

 

 

 

 

 

figura 30

 

 

 

 

 

 

 

 

 

 

 

El usuario baja el programa en su PC al observar el vídeo original el cual no esta infectado el nombre del archivo es Huevo CartoonPerdoname .exe la figura 31

 

figura 31

 

 

 

 

 

 

 

 

 

 

 

 

 

En la figura 32 podemos observar el ejecutable que contiene el malware el cual puede llegar al usuario por distintos medios correo electrónico, messenger o lo puede descargar de internet.

A comparación del que no tiene virus podemos observar que éste tiene el nombre de

Huevo_Perdoname.exe

 

 

figura 32

 

 

 

 

 

 

 

 

 

 

 

 

tenemos nuestro archivo el cual a partir de ahora lo llamaremos como “Muestra”

nuestra muestra podría ser un malware o no,  nuestro primer paso es poder comparar esta muestra con las distintas casas de antivirus, para lo cual utilizaremos una herramienta vía web a www.virustotal.com como veremos en la figura 33 cargaremos nuestra muestra

 

figura 33

 

 

 

 

 

 

 

 

 

 

 

La muestra será analizada y nos entregara datos relevantes para su análisis.   Bajo éste enfoque tenemos dos resultados: primero nos mostrará las casa de antivirus y que empresa identifica la muestra y quien nos mostrara la firma de virus que cada casa de antivirus le a puesto.

Otra variable es que si la muestra que enviamos a virus total no arroja ningún resultado estaríamos frente a dos variantes: la primera, es que la muestra que enviamos no es un malware y la segunda es que estamos frente a una nueva amenaza en la figura 34 nos muestra el resultado de este análisis

 

 

figura 34

La muestra arrojó los siguientes resultados el cual nos muestra que es identificado por  las casa de antivirus, nótese que el modelo caro es respetado por solo algunos antivirus

en esta parte haremos el proceso de análisis estático del antivirus para lo cual montaremos una máquina virtual para ejecutar el malware, es importante que desconectemos la maquina de la red, en la figura 35 levantaremos el sistema operativo xp y de igual forma podremos la maquina virtual en un momento 0 para que en caso que el virus al ejecutarlo comprometiera el sistema operativo podremos

partir con la misma maquina en el momento 0, osea,  antes de que el malware se ejecutara

figura 35

 

 

 

 

 

 

 

 

antes de ejecutar el virus veremos los procesos de la máquina para chequear que esté todo correctamente, para esto utilizaremos una herramienta de distribución gratuita Process Explorer en la figura 36 notaremos que los procesos que corren en la máquina no presentan ninguna anomalía

 

figura 36

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

En este momento procederemos a infectar la máquina con nuestra muestra, para lo cual, primero tendremos que tomar alguna medidas básicas de seguridad  y lo mas importante es desconectar la máquina de la red,  en segundo lugar si el el antivirus lo identifica como este caso bajaremos el guardián del antivirus en la figura 37 tenemos el virus y lo procederemos a ejecutar

figura 37

 

Al momento de ejecutar huevo_perdoname algo esta pasando se abrirá internet explore y nos enviara a una página en internet (farmi) en la cual nos invita a bajar mas vídeos, que en la practica es falso, dado que lo que realmente estaremos bajando son códigos malicioso.  Paralelamente el código trata de esconderse para   no ser detectado por  el usuario, en éste punto la maquina empezará a aumentar de forma expotencial los recursos del sistema.  En la figura 38 podemos apreciar la página en internet que nos envía

 

figura 38

 

 

 

 

 

 

 

 

 

 

 

 

 

adicionalmente, queda alojada en el host una dirección IP,  la cual contesta al realizar un PING y la página es un phishing bancario corresponde al banco bcp  como muestra la imagen 39

 

figura 39

 

 

                         

Analizando el malware

 

 

Al momento de ejecutar Huevo_perdoname podremos observar que en Process Explorer que al ejecutar huevo_perdoname algo esta pasando en la máquina tenemos un archivo 12.tmp( archivo temporal) en este momento técnicamente tenemos la máquina infectada la figura 40

 

figura 40

 

 

 

 

 

 

 

 

Algo esta pasando en el sistema operativo.  En  este momento analizaremos el comportamiento de éste código malicioso con una serie de herramientas de sofware libre.

Como mencionamos  anteriormente se abrió internet explore el cual nos envío a una página de internet

nuestro primer paso es chequear nuestra IP figura 41

 

figura 41

 

 

 

 

 

 

 

 

 

 

 

utilizaremos Wireshark, la máquina esta en el momento 0 antes de infectarla procederemos a ejecutar el malware y analizaremos 5 minutos.  nótese que es la misma dirección IP de la máquina y que los Packets están en 0 como podemos apreciar en la figura 42

 

 

figura 42

 

 

 

 

 

 

 

 

en aproximadamente cinco minutos el Pc comenzará  a mandar paquetes,  un promedio de 590 como lo muestra la figura 43

 

 

figura 43

 

 

 

 

 

 

 

 

 

Al momento de analizar que tipos de paquetes esta mandando encotramos que son :

 

TCP:

 

UDP:

 

ICMP:

como lo muestra la figura 44

 

 

 

 

 

 

 

 

figura 44

 

 

 

 

 

 

 

 

 

 

 

 

En la figura 45 apreciaremos el detalle tanto como el destinatario y el tipo de protocolo

Si apreciamos cuando ejecutamos la muestra este nos envío a una pagina web que es la misma que aparece No 1 www.humor12.com

figura 45

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Cuando ejecutamos la muestra se genera un archivo temporal de forma aleatoria, empezará a crear distintos archivos como 12.tmp entre otros,   Lo que haremos es buscar este archivo y ver lo que esta pasando,  para esto utilizaremos File Monitor el cual nos mostrará lo que esta pasando en la máquina (figura 46) tendremos tres procesos corriendo en el temporal y N archivos de internet explore

figura 46

 

 

---